Se você está tentando ser o mais completo possível, lembre-se de que o LDAP não é o único serviço que um controlador de domínio oferece. Você poderia ter 100 servidores Linux configurados para usar esse controlador de domínio como um resolvedor de DNS, por exemplo. (Ou hora do NTP, etc.)
Mas, para responder mais diretamente à sua pergunta, existem várias técnicas que você poderia empregar com vários graus de sucesso para encontrar clientes que estejam realizando ligações LDAP contra esse controlador de domínio.
- O contador de desempenho
NTDS\LDAP Client Sessions. (As limitações disso são que isso não ajuda você a identificar quem está usando o LDAP, só que alguém é. Também tenha em mente que esse contador ainda mostrará algumas conexões porque um DC manterá várias conexões LDAP até para si mesmo.) - O conjunto de coletores de dados do Diagnóstico do Active Directory. (Também é em perfmon e é incrível.)
- Monitor de rede / Wireshark.
- Se você usa o Firewall do Windows, ele poderá registrar todas as conexões se você as configurar para fazer isso.
- Altere o valor da entrada do registro
HKLM\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics -> 15 Field Engineeringpara 5 e, em seguida, definaHKLM\SYSTEM\CurrentControlSet\services\NTDS\Parameters -> Expensive Search Results Thresholdpara 1. Isso "engana" o AD a pensar que literalmente todas as consultas LDAP são "caras", porque um valor de 1 significa "Se até mesmo um objeto for tocado durante esta consulta, considere caro." Esses eventos serão registrados no log dos Serviços de Diretório, e eles incluem endereços IP do cliente.
Na mesma linha do meu primeiro parágrafo, lembre-se de que só porque ninguém é vinculado ao seu servidor LDAP, não significa que ninguém está usando o LDAP! O LDAP também tem um componente UDP, geralmente chamado de cLDAP ... LDAP sem conexão, que opera no UDP 389. Isso não conta como uma ligação, no entanto, os clientes Windows ainda usam isso durante o processo de localização do controlador de domínio.